微软|源码资本领投，DevSecOps头部厂商悬镜安全完成B轮数亿元融资( 二 ) 软件|网络安全

从开发源头做敏捷安全治理
根据第三方权威调查，接近92%的已知安全漏洞都发生在软件应用程序中，且应用中每1000行代码至少出现一个业务逻辑缺陷。此外， 78%-90%的现代应用融入了开源组件，平均每个应用包含147个开源组件，且67%的应用采用了带有已知漏洞的开源组件。目前绝大多数企业用户对业务应用漏洞的发现除了内部自测以外，多半源自外部第三方安全研究人员或安全厂商。整个软件开发生命周期中，不同阶段修复安全漏洞的成本差距显著，研发测试阶段与线上运营阶段的修复成本甚至能够相差数百倍。因此，前置安全工作，把漏洞风险及开源威胁消灭在萌芽状态，防止应用带病上线，保障软件供应链安全十分迫切且必要。
【微软|源码资本领投，DevSecOps头部厂商悬镜安全完成B轮数亿元融资】悬镜安全旗下明星产品之一灵脉IAST灰盒安全测试平台，作为悬镜DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台，通过新一代全场景实时数据流情景分析技术，如运行时应用插桩（含动态污点追踪及交互式缺陷定位）、终端流量代理、旁路流量镜像、主机流量嗅探、启发式爬虫、Web日志实时分析等和原创AI启发渗透测试技术赋能传统IT从业人员，在甲方用户的组织内部快速建立安全众测模式，使传统安全小白（如研发、测试、QA等）完成应用功能测试的同时即可透明实现深度业务安全测试，运行时动态监测开源风险，精准覆盖95%以上中高危漏洞，有效防止应用带病上线。
用智能攻防来度量安全有效性
孙子兵法中曾言：“用兵之法，无恃其不来，恃吾有以待也；无恃其不攻，恃吾有所不可攻也。 ”攻防对抗是网络安全建设过程中永恒的主题，是检验现有安全体系防御应对未知威胁成效能力最为直接的方式，如持续的安全众测、不定期进行攻防演练并辅以配套的检测响应手段等。
悬镜安全旗下另外一款明星级产品灵脉BAS智慧威胁模拟平台，作为悬镜DevSecOps智适应威胁管理体系中运营环节的自动化威胁模拟和安全验证平台，在国内率先实现“AI+威胁模拟”的智能攻防演练机器人系统，创造性将安全专家在大量渗透测试过程中积累的实战经验转化为机器可存储、识别、处理的结构化经验，并且在自动化测试过程中借助人工智能算法不断进行“自我思考”和逻辑推理决策，以贴近实际专家渗透测试的方式，对给定目标进行从信息收集、扫描探测、漏洞发现、漏洞利用、后渗透到持续验证的整个完整入侵模拟和安全度量过程，全方位检验甲方用户现有安全防御措施的有效性，从“真实黑客”视角持续动态评估目标组织的安全态势，并大幅度弥补安全人员水平参差不齐和效率低下的问题。
以代码疫苗赋能业务出厂免疫
随着云原生技术的迅猛发展、应用开源的快速普及和DevSecOps实践的规模化落地，网络安全正在经历从边界安全到端点安全、再到应用安全的发展演进，下一代应用安全的技术重心将是运行时情境感知。
悬镜安全“积极防御”体系中的关键产品之一-云鲨RASP自适应威胁免疫平台，作为悬镜DevSecOps智适应威胁管理体系中运营环节的检测响应平台，通过专利级应用漏洞攻击免疫算法、运行时安全切面调度算法、Webshell深度AI检测引擎及纵深流量学习算法等关键技术，实现RASP与IAST关键技术深度融合，将主动防御能力“注入”到数字化业务应用中，借助强大的应用上下文情景分析能力，可捕捉并防御各种绕过流量检测的攻击方式（如分段传输、编码混淆变形、应用内存马等），提供兼具业务透视和功能解耦的内生主动安全免疫能力，为业务应用出厂默认安全免疫迎来革新发展。